4 minuti lugemine 05. november 2020
Rear view of man working on laptop in open office

ISO 27001 sertifitseerimismenetluse suurimad väljakutsed

4 minuti lugemine 05. november 2020

Enam kui 200 infoturbe sertifitseerimisauditi tulemused aitavad mõista, mis läheb hästi ja kus on veel arenguruumi.

Lühikokkuvõte
  • Hästi toimivad valdkonnad hõlmavad juhtimist ja pühendumist infoturbe parandamisele ning infoturvet tarnijasuhetes.
  • Kõige enam esineb probleeme riskijuhtimise, identiteedi- ja pääsuhalduse ning varade halduse valdkondades.
  • Peamised soovitused ettevõtetele on sobiva riskihindamismeetodi tagamine ja juhtimissüsteemi tulemuslikkuse hindamiseks kasutatavate näitajate määratlemine.

Aastatel 2018-2019 viis EY CertifyPoint läbi üle 200 infoturbeauditi rohkem kui 65 erineva suurusega ja erinevates sektorites tegutseva kliendi juures. Sertifitseerimisauditite käigus tehtud tähelepanekute ja leitud tugevuste analüüs ning andmed sertifitseerimisulatuse ja selle muutumise kohta aastate jooksul on andnud meile hea ülevaate erinevate sektorite hetkeolukorrast, tüüpilistest väljakutsetest ja kitsaskohtadest infoturbe halduse süsteemi rakendamisel.

Analüüs viidi läbi ühe või mitme järgmise ISO standardi auditi põhjal:

  • ISO/IEC 27001:2013, millega kehtestatakse nõuded infoturbe halduse süsteemidele.
  • ISO/IEC 27017:2015, millega kehtestatakse täiendavad turvanõuded pilveteenuste pakkujatele ja nende klientidele.
  • ISO/IEC 27018:2014, millega kehtestatakse pilveteenuste pakkujatele täiendavad andmekaitsenõuded.

Muutused sertifitseerimisulatuses:

Aastatel 2018–2019 suurendas 48% ettevõtetest oma infoturbe halduse süsteemi rakendusalasse jäävate asukohtade arvu ning 67% ettevõtetest rakendusalasse jäävate täistööajaga töötajate arvu.

Asukohtade arvu kasv

36%

Infoturbe halduse süsteemi rakendusalasse jäävate asukohtade arvu keskmine kasv aastatel 2018–2019

Töötajate arvu suurenemine

23%

Infoturbe halduse süsteemi rakendusalasse jäävate töötajate arvu keskmine kasv aastatel 2018–2019

Ettevõtte suuruse ja keerukuse kasvades muutub infoturbesüsteemide rakendusala haldamine ning olemasolevate protsesside ja süsteemide integreerimine uute valdkondadega (nt toodete, teenuste, asukohtade, inimeste, osakondade, funktsioonide, uuenduste, töövahendite, majandusüksuste, ettevõtetega) üha keerulisemaks.

Mis läheb hästi?

Tulemuste analüüsist selgus, et infoturbe halduse süsteemide kaks peamist tugevust olid järgmised:

1. Tippjuhtkonna kaasatus ning pühendumine infoturbe ja küberturvalisuse parandamisele

Ettevõtete tippjuhtkonnad on protsessi pidevalt kaasatud ning pühendunud infoturbe ja küberturvalisuse juhtimisele. Näiteks on nad püüdnud ühitada infoturbe ja küberturvalisusega seotud tegevused äriliste eesmärkidega või muuta infoturbeprotsessid äriprotsesside olemuslikuks osaks. See peab paika nii suurte, keskmise suurusega kui ka väikeste ettevõtete puhul.

Tippjuhtkonna kaasatus

3%

2018. ja 2019. aastal auditeeritud ettevõtete puhul toodi välja juhtimise ja tippjuhtkonnaga seotud tähelepanekuid ja kitsaskohti.

2. Infoturve tarnijasuhetes

Infoturbe haldamisega tarnijasuhete puhul saadi kõigis ettevõtetes ühtviisi hästi hakkama. Näiteks on tarnijatele esitatavad turvanõuded nendega sõlmitud lepingutes alati täpselt määratletud ja dokumenteeritud.

Suhted tarnijatega

6%

2018. ja 2019. aastal auditeeritud ettevõtete puhul toodi välja tarnijasuhetes infoturbe haldamisega seotud tähelepanekuid ja kitsaskohti.

Kus on veel arenguruumi?

Juhtimise ja turvameetmete seisukohast pakkusid enim väljakutseid kolm järgmist valdkonda:

1. Riskijuhtimine

Turvariskide hindamine ja käsitlemine olid kõigi ettevõtete jaoks parajaks väljakutseks. Antud valdkond hõlmas näiteks selliseid tegevusi nagu ettevõtte jaoks sobiva riskijuhtimismetoodika väljatöötamine, turvariskide tuvastamine ja hindamine ning nende riskide käsitlemine.

Riskijuhtimine

35%

2018. ja 2019. aastal auditeeritud ettevõtete puhul toodi välja riskijuhtimisega seotud tähelepanekuid ja kitsaskohti.

2. Tulemuslikkuse hindamine

Ettevõtete jaoks osutus väljakutseks ka tulemuslikkuse hindamine. Antud valdkond hõlmas näiteks selliseid tegevusi nagu tulemuslikkuse jälgimine, infoturbe halduse süsteemi siseaudit ja juhtkondlik läbivaatus. Tulemuslikkuse hindamine on tõhusa infoturbe halduse süsteemi saavutamise seisukohalt oluline, kuna võimaldab ettevõttel tuvastada süsteemi tugevused ja puudused, tagades nii süsteemi pideva täiustamise ja arengu.

Tulemuslikkuse hindamine

26%

2018. ja 2019. aastal auditeeritud ettevõtete puhul toodi välja tulemuslikkuse hindamisega seotud tähelepanekuid ja kitsaskohti.

3. Identiteedi- ja pääsuhaldus

Turvameetmete puhul osutus ettevõtete jaoks suurimaks väljakutseks just pääsuhaldus. Tõhus pääsuhaldus on teabe turvalisuse tagamise seisukohast ülioluline, kuna hoiab ära loata juurdepääsu infovaradele ja nende loata kasutamise. Antud valdkonna puhul tehtud tähelepanekud võiks jagada neljaks:

  • Ärinõuded: üldised meetmed, nt pääsupoliitika
  • Kasutaja pääsuõiguste haldamine: kasutajakesksed meetmed, nt pääsuõiguste läbivaatamine
  • Kasutaja kohustused: kasutajate vastutus meetmete rakendamisel
  • Süsteem ja rakendused: meetmete rakendamine süsteemi ja rakenduse tasemel

Pääsuhaldus

16%

2018. ja 2019. aastal auditeeritud ettevõtete puhul toodi välja pääsuhalduse turvameetmetega seotud tähelepanekuid ja kitsaskohti.

Kolm peamist soovitust ettevõtetele auditite käigus tuvastatud probleemide lahendamiseks on järgmised:

1. Tuleks veenduda, et riskijuhtimismetoodikas kasutatav riskihindamismeetod sobib ettevõtte eesmärkide saavutamiseks. Metoodika võib olla oma olemuselt nii kvantitatiivne kui ka kvalitatiivne. Peamine eesmärk peaks olema tagada, et tippjuhtkonnal oleks hea ülevaade ettevõtte olulisematest riskidest, sest vaid nii saab võtta nende maandamiseks asjakohaseid meetmeid.

2. Määratlema peaks peamised näitajad, mida kasutatakse mitte ainult turvameetmete tõhususe, vaid ka juhtimissüsteemi üldise toimivuse hindamiseks. Meetmete rakendamise jälgimisel peaks vaatlema ühtse tervikuna kõiki infoturbe halduse süsteemi meetmeid ja eesmärke. Siseaudit peaks katma kogu sertifitseerimisulatuse (või ettevõtte). Seiretegevuse ja auditite tulemustest tuleks tippjuhtkonnaga regulaarselt rääkida, et saada neilt tagasisidet tegevuste edasiseks suunamiseks.

3. Identiteedi- ja pääsuhalduse tõhustamiseks tuleks järgida järgmiseid põhimõtteid:

  • Keskne lähenemine
  • Nullusaldusel põhinev identiteedihaldus
  • Minimaalõiguste printsiip
  • Haldustegevuste automatiseerimine
  • Kontrollimine ja ülekontrollimine
  • Multiautentimine
  • Aktiivse kasutajata kontodega tegelemine

Viide

Artiklis anti ülevaade sellest, mida EY CertifyPoint aastatel 2018–2019 läbiviidud ISO/IEC 27001:2013, ISO/IEC 27017:2015 ja ISO/IEC 27018:2014 auditite käigus nägi. Valdkonnad, kus ettevõtted on üldiselt hästi hakkama saanud, on juhtimine ning pühendumine infoturbe parandamisele ja infoturbele tarnijasuhetes, samas kui riskijuhtimise, identiteedi- ja pääsuhalduse ning varade halduse vallas on enamikul ettevõtetel veel tublisti arenguruumi.

Sellest artiklist